121851
22.03.2017, aktualisiert um 21:41:55 Uhr
3469
4
0
OpenVPN TLS
Hallo zusammen,
habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen und einen Eintag entdeckt wo ich nicht ganz weiß was genau es bedeutet und ob das so sicher ist.
Hier der Auszug:
Wed Mar 22 21:05:51 2017 xx.xx.xx.xx:21032 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:21032, sid=1b6e5ae28lla7106
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx21032 VERIFY OK: depth=1, C=DE, ST=XX L=XX O=IT, OU=P, CN=OpenVPN, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 VERIFY OK: depth=0, C=DE, ST=XX, L=XX, O=IT, OU=P, CN=test4, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 [test4] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI: Learn: 10.8.0.6 -> test4/xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4xx.xx.xx.xx.130:21032 MULTI: primary virtual IP for test4/xx.xx.xx.xx:21032: 10.8.0.6
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 send_push_reply(): safe_cap=940
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 SENT CONTROL [test4]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option$
Wed Mar 22 21:07:58 2017 test4/xx.xx.xx.xx:21032 SIGTERM[soft,remote-exit] received, client-instance exiting
Es geht um die markierte Zeile. Was genau bedeutet der Control Channel? Und sollte das nicht besser TLS 1.2 sein?
Der Rest sollte passen.
Vielen dank für die Hilfe
habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen und einen Eintag entdeckt wo ich nicht ganz weiß was genau es bedeutet und ob das so sicher ist.
Hier der Auszug:
Wed Mar 22 21:05:51 2017 xx.xx.xx.xx:21032 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:21032, sid=1b6e5ae28lla7106
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx21032 VERIFY OK: depth=1, C=DE, ST=XX L=XX O=IT, OU=P, CN=OpenVPN, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 VERIFY OK: depth=0, C=DE, ST=XX, L=XX, O=IT, OU=P, CN=test4, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 [test4] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI: Learn: 10.8.0.6 -> test4/xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4xx.xx.xx.xx.130:21032 MULTI: primary virtual IP for test4/xx.xx.xx.xx:21032: 10.8.0.6
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 send_push_reply(): safe_cap=940
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 SENT CONTROL [test4]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option$
Wed Mar 22 21:07:58 2017 test4/xx.xx.xx.xx:21032 SIGTERM[soft,remote-exit] received, client-instance exiting
Es geht um die markierte Zeile. Was genau bedeutet der Control Channel? Und sollte das nicht besser TLS 1.2 sein?
Der Rest sollte passen.
Vielen dank für die Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 332923
Url: https://administrator.de/contentid/332923
Ausgedruckt am: 28.03.2024 um 12:03 Uhr
4 Kommentare
Neuester Kommentar
Hallo fuddel18,
Hab gerade mal bei mir ins Log geschaut.
Dort steht auch ...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...
Du schreibst:
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel...
In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...
Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.
Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.
Das wäre dann im Moment: OpenVPN 2.4.1
Gruß Frank
Hab gerade mal bei mir ins Log geschaut.
Dort steht auch ...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...
Du schreibst:
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel...
In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...
Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.
Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.
Das wäre dann im Moment: OpenVPN 2.4.1
Gruß Frank
Hallo fuddel18,
dass Dein XX für eine maskierte IP steht war klar.
Ich hatte nur bemerkt und erwähnt, dass bei mir dort keine IP und kein Port ausgegeben wird.
Bei mir laufen Server und Client allerdings unter Windows. Vielleicht macht das den Unterschied.
Gerade habe ich es mit der Version 2.4.1 auf einem Windows-Rechner versucht.
Zu dem Test habe ich die Einstellungszeilen aus dem verlinkten Artikel verwenden.
Auch damit bleibt diese Ausgabe erhalten:
...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...
Ich kann leider nicht behaupten, dass ich den ganzen Kram verstehen würde und fundiert Testen könnte. Ich bin letztendlich immer nur froh wenn es läuft.
Für weitere Hilfe auf dem Weg zu TLSv1.2/SSLv3 muss ich leider passen.
Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein "alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.
Gruß Frank
PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.
dass Dein XX für eine maskierte IP steht war klar.
Ich hatte nur bemerkt und erwähnt, dass bei mir dort keine IP und kein Port ausgegeben wird.
Bei mir laufen Server und Client allerdings unter Windows. Vielleicht macht das den Unterschied.
Gerade habe ich es mit der Version 2.4.1 auf einem Windows-Rechner versucht.
Zu dem Test habe ich die Einstellungszeilen aus dem verlinkten Artikel verwenden.
Auch damit bleibt diese Ausgabe erhalten:
...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...
Ich kann leider nicht behaupten, dass ich den ganzen Kram verstehen würde und fundiert Testen könnte. Ich bin letztendlich immer nur froh wenn es läuft.
Für weitere Hilfe auf dem Weg zu TLSv1.2/SSLv3 muss ich leider passen.
Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein "alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.
Gruß Frank
PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.